forms - Form Hack / XSS / SQL注入

Question

我遇到了一个僵尸网络的大问题......我认为这是一个僵尸网络......会发生什么？机器人填写表格并向数据库发送垃圾邮件。

这是表格：

<form method="POST" action="">
    <textarea name="text2" style="width: 290px; margin-bottom: 10px;"></textarea>
    <center>
    <img id="captcha" alt="Captcha" src="http://www.mysite.de/php/captcha/Captcha_show.php?sid='2d7dd1256d06a724c34b9d703f3733e9">
    <br>
    <a onclick="document.getElementById('captcha').src = 'php/captcha/Captcha_show.php?' + Math.random(); return false" href="#">
    <br>
    <input id="mod" class="inputbox" type="text" alt="Bitte die Zeichen des Bildes eingeben." style="width: 280px" maxlength="15" name="captcha_code" value="">
    <sub>Bitte die Zeichen des Bildes abschreiben</sub>
    <br>
    <br>
    <input class="button" type="submit" value="Hinzufügen" name="submit">
    </center>
    </form>

这是一个无法插入单词的数组：

$badWords = array("/delete/i","/deleted/i","/deletee/i", "/update/i", "/updateu/i", "/updateup/i","/union/i","/unionu/i","/unionun/i", "/insert/i","/inserti/i","/insertin/i","/drop/i","/dropd/i","/dropdr/i","/http/i","/httph/i","/httpht/i","/--/i", "/url/i", "/urlu/i", "/urlur/i", "/true/i", "/truet/i", "/truetr/i", "/false/i", "/falsef/i", "/falsefa/i","/!=/i","/==/i", "/insurance/i", "/eating/i", "/viagra/i");


$text3 = preg_replace($badWords, "a12", $text2);

if($text3 != $text2){
    echo "<center><b>No valid data!</b></center> <meta http-equiv=\"refresh\" content=\"2; URL=http://www.mysite.de\">";
    exit;
}

因此，通常用户不应该能够在其中发布任何带有“伟哥”的文本。

我无法理解某人或机器人如何插入带有这些坏词的文本？

我正在使用 PDO 和 htmlspecialchars() stripslashes() strip_tags() htmlspecialchars() 之类的函数来防止黑客攻击...

有任何想法吗？

Answer 1

您的脚本可能会被 HTML 实体入侵：

示例：
输入是“Hello”，但在代码中是Hello. 如果你现在运行 apreg_match你将找不到任何东西

var_dump(preg_match('/Hello/i','Hello'));    
// returns int 0

如果要防止 SQL 注入：使用准备好的语句。
如果您不想被垃圾邮件发送，您还必须寻找其他方式，只要我可以多次插入有效字符串即可。

注意：我认为你可以通过使用来防止我的黑客攻击html_entity_decode

var_dump(preg_match('/Hello/i',html_entity_decode('Hello'))); 
// returns int 1